WPS Office是由中国金索夫特（Kingsoft）开发的办公室套房，在亚洲非常受欢迎。据报道，它由全球超过5亿活跃用户拥有。

黑客组被跟踪为APT-C-60，其中0天漏洞编号CVE2024-7262。 ESET将APT-C-60描述为“与韩国保持一致的网络- 高级组织”。

此漏洞允许远程代码执行，并已用于将称为Spyglace的自定义后门运送到东亚目标。至少自2024年2月下旬以来，在现场攻击中利用了这个0天漏洞（CVE-2024-7262），受影响版本的范围从12.2.0.13110（2023年8月）到12.1.0.0.16412（2024年3月）。

CVE-2024-7262以软件处理自定义协议处理程序的方式存在，尤其是“ KSOQING: //”，它允许通过文档中专门精心设计的URL执行外部应用程序。

由于对这些URL的验证和清洁不当，漏洞使攻击者能够创建恶意超链接，从而导致任意代码执行。

APT-C-60创建一个电子表格文档（MHTML文件），其中隐藏在嵌入的诱饵图像下的恶意超链接，以欺骗受害者单击它们，从而触发漏洞。

处理后的URL参数包括一个基本64编码的命令，以执行特定的插件（PromeceCefpluginhost.exe），该命令试图加载包含攻击者代码的恶意dll（ksojscore.dll）。

DLL是APT-C-60的下载器组件，用于从攻击者的服务器中获取最终有效载荷（TaskControler.dll），这是一种称为“ SpyGlace”的自定义后门。

攻击链

中国网络安全公司DBAPPSECURITY最近发布了WPS办公室漏洞的分析（https://TI.DBAPPSECURITY.COM.CN/INFO/6910），此前该公司确定该公司已利用脆弱性将恶意软件传播给中国用户。

SecurityWeek已经看到了中国公司和政府机构发布的APT-C-60的多个报告，该公司在中国被追踪为“伪猎人”。其中一些报告将昂贵的统一与韩国联系起来。

根据威胁书在2022年底的一份报告（https://threatbook.io/blog/analysise-opt-apt-c-c-60-Attack-on-south-korea），APT-C-60还针对韩国实体。

ESET\’s Wednesday report (https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/) said that at the end of February, a malicious document exploiting the CVE-2024-7262 vulnerability was uploaded to VirusTotal.攻击者创建了一个看似无害的电子表格，当目标用户单击单元格时，会触发漏洞。

诱饵文档嵌入了带有隐藏恶意超链接的图像

关于此漏洞的另一个有趣的事实是，它也可以通过在Windows Explorer的预览窗格中单击，这使其更加危险。

根据ESET的说法，WPS Office开发人员Kingsoft在2024年3月发行版本12.1.0.16412时修补了0天漏洞。自2023年8月以来发布的软件版本已受到影响，但仅限于Windows。

在对CVE-2024-7262的分析过程中，ESET发现开发人员仅修复了一些错误代码，并且仍然可以利用漏洞。然后，供应商发布了第二个漏洞的补丁程序，其中补丁编号CVE-2024-7263。

根据官方网站的数据，WPS Office是一个受欢迎的办公室套件，全球拥有超过5亿活跃用户。这使其成为利用开发人员的宝贵目标。

安全专家建议所有WPS用户尽快将软件更新为最新版本。

ESET提供了APT-C-60攻击和攻击检测指标（IOC）的技术细节。参考链接：https://github.com/eset/malware-ioc/tree/master/master/apt_c_60

参考链接：

https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-ecploited-wps-office-wmserice-zero-day-day-deploy-spyglace-malware/

https://www.securityweek.com/wps-office-Zero-day-day-exploited-by-south-korea-korea-korea-cyberspies/